Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport spamowy: styczeń 2014

Tagi:

Spam na świeczniku

W styczniu spamerzy odpuścili sobie już Święta Bożego Narodzenia oraz Nowy Rok i skupili się na walentynkach. Kolejnym popularnym trendem w tym miesiącu były angielsko i rosyjskojęzyczne masowe wysyłki oferujące systemy kamer monitoringowych. 

Tzw. oszuści nigeryjscy nadal żerowali na śmierci Nelsona Mandeli i Ariela Sharona, aby wyłudzić od użytkowników pieniądze. 

Spam świąteczny

Gdy skończyło się największe święto zimowego okresu, spamerzy skierowali swoją uwagę ku nadchodzącym wydarzeniom, w szczególności walentynkom. Oprócz tradycyjnych wysyłek „kwiatowych” i propozycji romantycznej kolacji lub wycieczki angielskojęzyczny spam zawierał również reklamy oferujące raczej niekonwencjonalne prezenty, w tym prawdziwą gwiazdkę na niebie.    

spamreport_january_2014_01_auto.png

„Nigeryjskie” żony Nelsona Mandeli 

Tragiczne wydarzenia z ostatnich miesięcy są aktywnie wykorzystywane przez „nigeryjskich” scammerów w oszukańczych wiadomościach e-mail. Na początku stycznia zmarł były premier Izraela Ariel Sharon i już tydzień później odnotowaliśmy masową wysyłkę żerującą na tej wiadomości. Jednak śmierć Nelsona Mandeli była wykorzystywana w o wiele większym stopniu. Pierwsze wysyłki ze wzmianką o śmierci byłego prezydenta Afryki Południowej pojawiły się w grudniu.    

W styczniu, tak jak spodziewaliśmy się, pojawiły się nowe wiadomości e-mail. Powszechnie wiadomo, że Nelson Mandela był trzykrotnie żonaty i właśnie na tym żerowali spamerzy, aktywnie wykorzystując imiona jego żon, aby przekonać odbiorców do prawdziwości swoich historii.  

Jeden z listów „nigeryjskich”, napisany rzekomo przez prawnika drugiej żony zmarłego prezydenta, Winnie Madikizela, nie zawierał żadnych szczegółów dotyczących współpracy. Informował jedynie, że Winnie i jej prawnik potrzebują pomocy w przejęciu ogromnej sumy pieniędzy oraz sztabek złota, a następnie zainwestowaniu tego bogactwa. Nadawcy twierdzili, że szukają porządnej osoby, która koniecznie musi być obywatelem obcego państwa. Wiadomość zawierała również numer telefonu komórkowego, którego należy użyć, aby odpowiedzieć na wiadomość i uzyskać więcej informacji. Co ciekawe, oszuści prosili odbiorcę o kontakt, nawet jeśli nie jest zainteresowany ofertą, twierdząc, że w takim razie będą starali się uzyskać pomoc od kogoś innego. Oszuści naturalnie liczyli na to, że chciwość odbiorcy przeważy nad zdrowym rozsądkiem.  

spamreport_january_2014_02_auto.png      

Kolejna masowa wysyłka pochodziła rzekomo od trzeciej żony Mandeli - Gracy Machel. Tym razem oszuści próbowali zyskać przychylność odbiorcy, serwując mu smutną opowieść o bojach toczonych w rodzinie Mandeli o jego miliony oraz chciwych krewnych, którzy gotowi są posunąć się do wszystkiego. Na potwierdzenie takich historii e-maile zawierały odsyłacz do artykułu prasowego, który pojawił się w znanej gazecie. Oszuści prosili o pomoc w przelewie pieniędzy „nieszczęsnej prezydentowej” oraz bezpieczne przechowanie ich na koncie odbiorcy.     

spamreport_january_2014_03_auto.png

Systemy kamer monitoringowych

W styczniu miał miejsce wzrost ilości masowych wysyłek zawierających oferty zakupu i instalacji systemów monitoringowych przy użyciu kamer wideo na terenach prywatnych i komercyjnych. Takie oferty są dość typowe. Zasadniczo, mamy tu do czynienia z niechcianymi wiadomościami e-mail pisanymi w imieniu różnych firm specjalizujących się w systemach monitoringu wideo. Z reguły wiadomości te nie podają nazwy firmy w adresie nadawcy. Zamiast tego adres nadawcy zawiera jego imię lub nazwisko, które nie zawsze pokrywa się z podanym w wiadomości nazwiskiem menadżera.     

spamreport_january_2014_04_auto.jpg

Angielskojęzyczny spam na ten temat dotyczył głównie bezpieczeństwa osobistego i możliwości kontrolowania żony lub męża oraz pielęgniarek środowiskowych w prywatnych domach. Wiadomości te często zamiast kontaktowego numeru telefonu zawierały odsyłacz do strony dostawcy oraz sklepu internetowego sprzedającego kamery monitoringowe.

Rozkład geograficzny źródeł spamu

Odsetek spamu w ruchu e-mail

spamreport_january_2014_05.png 
Odsetek spamu w ruchu e-mail

W pierwszym tygodniu 2014 r. miał miejsce niewielki spadek odsetka spamu spowodowany zmniejszoną aktywnością spamerów podczas sezonu świątecznego. Spamerzy nadrobili jednak straty w drugim tygodniu stycznia - liczba wiadomości spamowych w tym okresie znacznie wzrosła. W drugiej połowie miesiąca sytuacja uległa normalizacji, a średni odsetek spamu dla stycznia wynosił 65,7% całego ruchu e-mail.       

Źródła spamu

W styczniu lista źródeł spamu na całym świecie odnotowała poważne zmiany.

spamreport_january_2014_06_auto.png
Źródła spamu według państwa

Stany Zjednoczone awansowały z drugiego miejsca na pierwsze w rankingu, rozprzestrzeniając 21,9% całego spamu – co stanowi wzrost o 3 punkty procentowe. Z kolei udział Chin (16%) zmniejszył się o 7 punktów procentowych, przez co państwo to spadło na drugie miejsce. Na trzecim miejscu uplasowała się Korea Południowa (12,5%), mimo że udział tego państwa również zmniejszył się o 1,5 punktu procentowego.    

Podobnie jak w grudniu czwarte miejsce zajął Tajwan (6,2%), za którym uplasowała się Rosja (6%). Ranking Top 10 zamknęła Rumunia, której udział w ogóle wysłanego spamu wynosił 2% .

Niewielki wzrost aktywności spamerów odnotowaliśmy we Włoszech, gdzie odsetek niechcianych wiadomości e-mail wynosił 1,5%, jak również w Hiszpanii (1%), w Hong Kongu (1%) oraz na Filipinach (1,1%). Wyniki pozostałych państw nie uległy zmianie, podobnie jak zajmowane przez nie miejsca w rankingu.   

spamreport_january_2014_07_auto.png
Źródła spamu w Europie według państwa

W styczniu Korea Południowa pozostała czołowym źródłem spamu wysyłanego do użytkowników europejskich (47,2%), mimo że jej udział zmniejszył się o 5,9 punktu procentowego w stosunku do poprzedniego miesiąca. Na drugiej pozycji znalazł się Tajwan (5,8%), który w grudniu uplasował się na trzecim miejscu, a dalej Stany Zjednoczone (-2,1 punktu procentowego), których udział wynosił średnio  5,3%.    

Hong Kong uplasował się na czwartym miejscu – z państwa tego pochodziło 3% spamu w Europie. Na piątej pozycji utrzymała się Rosja (3%), której udział w spamie zwiększył się o 0,3 punktu procentowego. Niżej znalazła się Hiszpania (2,4%) i Włochy (2%): oba państwa wykazały niewielki wzrost odsetka spamu wysyłanego do użytkowników europejskich. Ranking Top 10 zamknęła Rumunia.           

Chiny (1,4%)  odnotowały spadek o siedem pozycji (ich udział zmniejszył się o niemal 2 punkty procentowe), w efekcie którego całkiem wypadły z rankingu Top 10.

Na uwagę zasługuje niewielki wzrost aktywności spamerów w Wielkiej Brytanii (1,4%), Niemczech (1,3%) i Francji (0,9%).

spamreport_january_2014_08_auto.png
Źródła spamu według regionu

W styczniu Azja (49%) pozostała czołowym regionalnym źródłem spamu mimo znacznego spadku (-7,6 punktu procentowego) aktywności spamerów. Na drugim miejscu znalazła się Ameryka Północna, z której wysłano 15%  globalnego spamu, co stanowi wzrost o 2,8 punktu procentowego. Tymczasem udział Europy Wschodniej zwiększył się o 1,3 punktu procentowego i wynosił 18%, przez co region ten znalazł się na trzecim miejscu w rankingu. Europa Zachodnia (5,8%) oraz Ameryka Łacińska (4%) uplasowały się odpowiednio na czwartym i piątym miejscu.         

Szkodliwe załączniki w ruchu e-mail

W styczniu ranking Top 10 szkodliwych programów rozprzestrzeniających się za pośrednictwem wiadomości e-mail wyglądał następująco:

spamreport_january_2014_09_auto.png
TOP 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail

Trojan-Spy.html.Fraud.gen pozostał najszerzej rozprzestrzenionym szkodliwym programem. Fraud.gen należy do rodziny trojanów wykorzystujących technologię spoofingu: trojany te imitują strony HTML i są rozprzestrzeniane za pośrednictwem poczty e-mail w postaci powiadomień od dużych banków komercyjnych, sklepów internetowych, twórców oprogramowania itd.    

Trojan-PSW.Win32.Fareit.amzb, Trojan-PSW.Win32.Fareit.anaq, Trojan-PSW.Win32.Fareit.annp, Trojan-PSW.Win32.Fareit.anai oraz Trojan-PSW.Win32.Fareit.amzs znalazły się odpowiednio na drugim, trzecim, czwartym, ósmym i dziewiątym miejscu. Programy te należą do rodziny szkodliwego oprogramowania, która kradnie loginy i hasła użytkowników i wysyła je do serwera kontroli cyberprzestępców. Potrafią również przeprowadzać ataki DDoS oraz pobierać i uruchamiać losowo wybrane oprogramowanie. Wszystkie pięć programów pobiera i uruchamia trojany z rodziny Zbot, których celem jest atakowanie serwerów i komputerów PC jak również przechwytywanie danych użytkownika. Chociaż trojan ten jest zdolny do różnych szkodliwych działań, najczęściej wykorzystywany jest do kradzieży informacji bankowych. Potrafi również zainstalować szkodliwy program o nazwie CryptoLocker, który żąda pieniędzy za odszyfrowanie danych użytkownika. Trojan-PSW.Win32.Fareit.anai ładuje również trojana instalującego szkodliwe rozszerzenie dla przeglądarki, które potrafi przeglądać żądania wyszukiwania w najpopularniejszych wyszukiwarkach oraz podmieniać wyniki na korzyść przestępców. Szkodliwe programy z rodziny Fareit kradną portfele Bitcoina oraz około 30 innych walut wirtualnych.    

Na piątym miejscu znalazł się robak sieciowy Asprox, którego celem jest rozprzestrzenianie spamu. Szkodnik ten automatycznie infekuje strony internetowe, ładuje i uruchamia inne programy oraz zbiera cenne informacje przechowywane na komputerze, takie jak hasła i inne dane umożliwiające dostęp do kont e-mail i FTP.  

Listę Top 10 zamyka Email-Worm.Win32.Bagle.gt., robak pocztowy, który wysyła swoje kopie na wszystkie adresy e-mail znalezione na zainfekowanym komputerze. Robak pobiera również pliki z internetu bez wiedzy użytkownika. Email-Worm.Win32.Bagle.gt wykorzystuje własną bibliotekę SMTP w celu wysyłania zainfekowanych wiadomości.    

spamreport_january_2014_10_auto.png
Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa 

Na szczycie rankingu państw o największym odsetku wykryć szkodliwego oprogramowania w poczcie znalazły się Stany Zjednoczone (+3,5 punktu procentowego), które zepchnęły Wielką Brytanię na drugie miejsce (-3,41 punktu procentowego). Na trzecim miejscu utrzymały się Niemcy, których udział w szkodliwym oprogramowaniu wykrytym w poczcie zmniejszył się o 0,39 punktu procentowego w porównaniu z poprzednim miesiącem.  

Udział Rosji w całkowitym odsetku wykryć szkodliwego oprogramowania w poczcie e-mail na całym świecie zwiększył się o 2%. Znacznie wzrósł jednak udział Meksyku i Afryki Południowej, w efekcie czego państwa te uplasowały się w rankingu Top 20 odpowiednio na siedemnastym i osiemnastym miejscu.   

Cechy szczególne szkodliwego spamu

W zeszłym miesiącu oszuści skoncentrowali się na  użytkownikach wieloplatformowego komunikatora WhatsApp, którego popularność na całym świecie szybko rośnie. Komunikator ten pozwala użytkownikom wysyłać wiadomości tekstowe oraz wymieniać się grafiką, plikami wideo oraz audio. Przed wysyłaniem powiadomień o spamie za pośrednictwem poczty e-mail nie powstrzymało cyberprzestępców nawet to, że WhatsApp jest obecnie dostępny jedynie na smartfonach, a stworzenie konta na WhatsApp nie wymaga posiadania konta e-mail.     

spamreport_january_2014_11_auto.jpg

W styczniu natrafiliśmy na fałszywe powiadomienia od WhatsApp, które informowały użytkownika, że jeden z jego znajomych lub po prostu „twój znajomy” wysłał mu zdjęcie lub obrazek. Załączone archiwum w rzeczywistości zawierało szkodliwy program wykrywany przez Kaspersky Lab jako Backdoor.Win32.Androm.bjkd. Był to niesławny backdoor, którego główną funkcją jest pobieranie innych szkodliwych programów na komputer ofiary.      

Phishing

W styczniu ranking organizacji najczęściej atakowanych przez phisherów nie zmienił się znacząco.

spamreport_january_2014_12_auto.png
Rozkład 100 organizacji najczęściej atakowanych przez phisherów według kategorii

Ranking ten opiera się na wykryciach dokonanych przez komponent antyphishingowy firmy Kaspersky Lab, aktywowanych za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz do strony phishingowej, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.   

Pierwsze miejsce po raz kolejny zajęły portale społecznościowe (27,3%), które zwiększyły swój udział o 0,9 punktu  procentowego. Udział serwisów pocztowych (19,7%) oraz wyszukiwarek (16,9%) zmniejszył się nieznacznie i kategorie te zachowały odpowiednio drugą i trzecią pozycję w rankingu.        

Na czwartym miejscu utrzymały się organizacje finansowe i e-płatności (15,7%), mimo że udział tej kategorii zmniejszył się o 0,2 punktu procentowego w porównaniu z poprzednim miesiącem. 

Udział kategorii „Dostawcy usług telefonii i internetu”  (8,29%) oraz „Producenci IT” (5,93%) nieznacznie spadł, nie miało to jednak wpływu na ich miejsce w rankingu – utrzymały się odpowiednio na piątym i szóstym miejscu.

W styczniu phisherzy wysyłali fałszywe powiadomienia, podszywając się pod wiele popularnych sklepów internetowych. Odbiorcy oszukańczych e-maili podpisanych przez „menadżera” amerykańskiej sieci detalicznej Walmart zostali poinformowani, że ich zamówienie nie zostało zrealizowane. W celu rozwiązania tego problemu zostali poproszeni o wypełnienie formularza i odesłanie go w ciągu tygodnia. Wiadomość została napisana w oficjalnym stylu korporacyjnym, zawierała logo firmowe oraz automatyczny podpis na końcu – wszystko to miało przekonać użytkownika, że wiadomość nie była fałszywa. Jednak podejrzenia użytkownika powinny wzbudzić dwie rzeczy: nadawca nie zwraca się do niego z imienia ani nazwiska oraz podaje więcej niż jeden powód niezrealizowania dostawy.       

spamreport_january_2014_13_auto.png

W styczniu trafiliśmy na niemieckojęzyczną masową wysyłkę phishingową, w której wykorzystano nazwę sklepu Amazon. Odbiorca został poinformowany, że w serwisie odnotowano próbę uzyskania dostępu do jego konta z komputera innej osoby. Odbiorca został poproszony o potwierdzenie informacji o koncie w ciągu 48 godzin, w przeciwnym razie konto zostanie zablokowane. W rzeczywistości, wiadomość zawierała odsyłacz do strony phishingowej. Warto zauważyć, że e-mail w najmniejszym stopniu nie przypominał legalnej wiadomości. Wygląda na to, że oszuści liczyli na to, że odbiorcy są niedoświadczeni lub nieuważni.

spamreport_january_2014_14_auto.png    

Podsumowanie

W styczniu udział spamu w globalnym ruchu e-mail zmniejszył się o 7,6 punktu procentowego i wynosił średnio 65,7%. Tak jak przewidywaliśmy, spadek odsetka spamu spowodowany był okresem zastoju na początku stycznia, gdy aktywność biznesowa jest mniejsza i duża liczba botnetów jest wyłączona.   

Wysyłki spamowe zawierały reklamy upominków jak również serwisów oferujących organizowanie różnych wydarzeń i wycieczek. Walentynki były wykorzystywane zarówno w angielsko jak i rosyjskojęzycznym spamie. Zarejestrowaliśmy tradycyjne masowe wysyłki dystrybuowane za pośrednictwem „kwiatowych” programów partnerskich reklamujących romantyczne kolacje jak również wiele innych ofert upominków.

Tak jak spodziewaliśmy się, spamerzy nadal wysyłali tzw. listy „nigeryjskie” żerujące na śmierci Nelsona Mandeli. Tym razem oszuści podszywali się pod żony lub asystentów zmarłego prezydenta. W styczniu spamerzy wykorzystywali do swoich celów również śmierć Ariela Sharona.   

Innym ważnym wydarzeniem wykorzystywanym przez oszustów były Igrzyska Olimpijskie w in Soczi. W styczniu wykryliśmy masowe wysyłki zawierające reklamy podrabianych towarów znanych projektantów oraz akcesoriów z logo Igrzysk.

W styczniowym rankingu najczęściej atakowanych przez phisherów organizacji pojawiło się niewiele zmian w stosunku do poprzedniego miesiąca. Na pierwszym miejscu utrzymały się portale społecznościowe, które odnotowały wzrost o 0,9 punktu procentowego. Tuż za nimi uplasowały się kategorie „Poczta elektroniczna i komunikator internetowy” oraz „Wyszukiwarka”, których udział również zwiększył się nieznacznie.      

Popularne portale społecznościowe oraz komunikatory internetowe pozostały głównym celem fałszywych powiadomień zawierających szkodliwe programy. W styczniu szkodliwe powiadomienia wyglądały, jakby zostały wysłane z wieloplatformowego komunikatora dla smartfonów WhatsApp.